Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autoriser l'accès uniquement depuis votre VPC
Les utilisateurs extérieurs à vous VPC peuvent se connecter à SageMaker MLflow ou via Internet même si vous avez configuré un point de terminaison d'interface dans votreVPC.
Pour autoriser l'accès uniquement aux connexions établies depuis votre ordinateurVPC, créez une politique AWS Identity and Access Management (IAM) à cet effet. Ajoutez cette politique à chaque utilisateur, groupe ou rôle utilisé pour accéder SageMaker MLflow. Cette fonctionnalité n'est prise en charge que lors de l'utilisation du IAM mode d'authentification et n'est pas prise en charge en mode IAM Identity Center. Les exemples suivants montrent comment créer de telles politiques.
Important
Si vous appliquez une IAM politique similaire à l'un des exemples suivants, les utilisateurs ne peuvent pas accéder SageMaker MLflow SageMaker APIs via la SageMaker console spécifiée. Pour y accéder SageMaker MLflow, les utilisateurs doivent utiliser un présigné URL ou appeler SageMaker APIs directement le.
Exemple 1 : Autoriser les connexions uniquement dans le sous-réseau d'un point de terminaison d'interface
La politique suivante autorise les connexions uniquement pour les appelants dans le sous-réseau où vous avez créé le point de terminaison d'interface.
{ "Id": "mlflow-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "MlflowAccess", "Effect": "Allow", "Action": [ "sagemaker-mlflow:*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-111bbaaa" } } } ] }
Exemple 2 : Autoriser les connexions uniquement via les points de terminaison d'interface en utilisant aws:sourceVpce
La politique suivante n'autorise les connexions qu'à celles effectuées via les points de terminaison d'interface spécifiés par la clé de condition aws:sourceVpce. Par exemple, le point de terminaison de la première interface peut autoriser l'accès via la SageMaker console. Le deuxième point de terminaison de l'interface pourrait autoriser l'accès via le SageMaker API.
{ "Id": "sagemaker-mlflow-example-2", "Version": "2012-10-17", "Statement": [ { "Sid": "MlflowAccess", "Effect": "Allow", "Action": [ "sagemaker-mlflow:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": ["vpce-111bbccc","vpce-111bbddd"] } } } ] }
Exemple 3 : Autoriser les connexions à partir d'adresses IP en utilisant aws:SourceIp
La politique suivante autorise les connexions uniquement à partir de la plage d'adresses IP spécifiée à l'aide de la clé de condition aws:SourceIp.
{ "Id": "sagemaker-mlflow-example-3", "Version": "2012-10-17", "Statement": [ { "Sid": "MlflowAccess", "Effect": "Allow", "Action": [ "sagemaker-mlflow:*" ], "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": ["192.0.2.0/24","203.0.113.0/24"] } } } ] }
Exemple 4 : Autoriser les connexions à partir d'adresses IP via un point de terminaison d'interface en utilisant aws:VpcSourceIp
Si vous accédez SageMaker MLflow via un point de terminaison d'interface, vous pouvez utiliser la clé de aws:VpcSourceIp condition pour autoriser les connexions uniquement à partir de la plage d'adresses IP spécifiée au sein du sous-réseau dans lequel vous avez créé le point de terminaison d'interface, comme indiqué dans la politique suivante :
{ "Id": "sagemaker-mlflow-example-4", "Version": "2012-10-17", "Statement": [ { "Sid": "MlflowAccess", "Effect": "Allow", "Action": [ "sagemaker-mlflow:*" ], "Resource": "*", "Condition": { "IpAddress": { "aws:VpcSourceIp": ["192.0.2.0/24","203.0.113.0/24"] }, "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
